信息技术服务外包人员安全管理细则 1 总则 1
1 目的 为规范本公司对外包服务人员的信息安全管理工作,明确相关部门和人员职责,使信息技术外包服务纳入制度化、规范化管理,特制定本管理细则
2 适用范围 本规范适用于《名称》管理服务中心对外包服务商及外包服务人员的管理
2 术语和定义 术语 定义 信息技术服务 供方为需方提供开发、应用信息技术的服务,以及供方以信息技术为手段提供支持需方业务活动的服务
注:一般包括咨询服务、设计与开发服务、信息系统集成实施服务、运行维护服务、数据处理和存储服务、运营服务、数据内容服务及其他信息技术服务
服务外包 以签订合同的方式,委托其他机构承担信息技术服务的商业行为
外包服务商 服务外包中承担信息技术服务的机构 外包服务人员 提供信息技术服务的外包服务商人员
外包服务责任人 负责管理外包服务人员或协调外包项目相关事务的对接人员
3 外包安全管理基本原则 在信息技术服务外包活动中,应遵循以下信息安全管理基本原则: (一) 责任延展原则
信息安全管理责任不随服务外包而转移,无论《名称》数据和业务是位于自身信息系统还是外包服务商的信息系统上,XXX 都是信息安全的最终责任人
(二) 领导决策原则
信息技术外包应获得《名称》服务外包主管领导的支持、批准和授权
(三) 风险控制原则
责任人员应始终关注信息技术服务外包可能带来的信息安全风险,并能够及时应用风险控制措施
(四) 监督检查原则
运维部应对信息技术服务活动进行监管,并接受信息安全主管部门的监督检查
(五) 数据归属关系不变
XX 公司提供给外包服务服务商的数据、设备等资源,以及外包服务过程中收集、产生、存储的数据和文档等资源属 XX 公司所有
外包服务商应保障XX 公司对这些资源的访问、利用、支配,未经XX 公司授权,外包服务商和任何第三方不得访问、修改 、披 露
